今日のハイパーコネクテッドな世界では、口座開設(AO)詐欺の暗い現実が大きく迫っています。サイバー犯罪者は洗練された戦術を駆使してアカウント作成の脆弱性を悪用し、企業とその顧客に大混乱をもたらします。業界レポートによると、消費者は2021年にAO詐欺により70億ドルの損失を被った。こうした攻撃の頻度と複雑さが増すにつれ、強力な予防策を講じることはもはやオプションではなく、必須となっています。
このブログでは、口座開設詐欺を防止するための 5 つのベスト プラクティスを紹介します。しかし、まず最初に、悪意のある行為者が使用する戦術と AO 詐欺防止の課題について説明します。
詐欺師が口座開設詐欺を行う方法
悪意のある人物は、自分自身の ID、盗まれた ID、またはこれら 2 つを組み合わせた合成 ID を使用して不正なアカウントを開設します。通常、正当なユーザーであるように見せるために、独自の(追跡不可能な)デバイスと電話番号または電子メールで登録します。しかし実際には、その口座はローンやクレジットカードの申請など、詐欺行為を犯す目的のみで作成されており、借金を返済する意図はない。
彼らは、さまざまなトリックを使って、自分ではない誰かのふりをすることでこれを行います。
- 盗まれた個人情報: 詐欺師は被害者の名前、住所、場合によっては社会保障番号 (SSN) を使用して口座を開設します。これは、詐欺師が金融サービスを標的にし、被害者の身元を利用してローンを申請したり、不正な購入を行ったりする場合によく見られます。ダークウェブでは、売り手が被害者の信用格付けを記載していることが多いため、盗まれた個人情報を簡単に購入できます。
- 偽の身元: この場合、詐欺師は架空の身元を作成し、詐欺目的専用の電子メール アカウントを作成することがあります。このアプローチでは、信用格付けは確立されていませんが、マネーロンダリングやさまざまな詐欺行為を重ねるなど、悪用される手段は数多くあります。
- 合成 ID : 盗まれた ID データを自分の電話番号や電子メール アドレスと組み合わせることで、詐欺師はデータ検証方法を欺き、ワンタイム パスコード (OTP) で認証することができます。この戦術により、詐欺師は 95% の確率で登録できると推定されています。2023年のデロイトのレポートによると、これは米国で最も急速に増加している金融犯罪です。
- 高品質の偽造 ID : ダーク ウェブだけでなく、オンラインでも目立つ場所で販売されています。さらに、新しい偽造 ID サービスでは画像編集ツールが提供されており、ユーザーは自分の写真を切り取って ID デザイン テンプレートに貼り付けることができます。生成 AI は、本物の ID のように見える画像を作成または編集するためにも使用できます。
AO詐欺防止の課題
詐欺の手口は常に進化しているため、AO 詐欺を防止するのは困難です。同時に、企業は顧客確認 (KYC) や一般データ保護規則 (GDPR) など、常に変化するコンプライアンス要件に対応する必要があります。コンプライアンスを満たし、セキュリティをパッチするための取り組みにより、アカウント開設フローに大きな摩擦が生じることがよくあります。
アカウントを開設する際、顧客は長いフォームに記入し、写真付き身分証明書を提示し、認証を設定し、セキュリティの質問に答え、提供した電子メールまたは電話番号を所有していることを証明するために OTP を入力するよう求められる場合があります。これらの面倒なプロセスにより、51% の顧客が AO を完了する前に離脱してしまい、詐欺行為を十分に防止できません。
偽造IDと組み合わされた合成ID、偽造ID、盗難IDが溢れる世界では、企業はAO詐欺防止をさらに複雑にする追加の課題に直面しています。
- 常に変化するコンプライアンス要件により複雑さと摩擦が増大
- AML、PEP、KYC : 銀行は、写真付き身分証明書による本人確認、身元調査などを義務付けるマネーロンダリング防止(AML)、重要な公的地位にある人物 (PEP)、KYC 規制に準拠する必要があります。
- プライバシー要件: GDPRなどのデータ プライバシー規制では、個人を特定できる情報 (PII) の取り扱い、保存、保護の方法が指定されています。
- 摩擦の多いユーザー エクスペリエンス (UX) により、顧客は登録を完了する前に離脱してしまいます。ID 証明や OTP またはセキュリティの質問を使用した多要素認証 (MFA) などの強力な不正防止およびコンプライアンス対策は、手順が複雑で時間がかかると感じられる場合、UX に悪影響を及ぼします。
- 認証、不正防止、身元調査、身元証明、その他のツール用のマルチベンダー ソリューションを組み合わせるには、困難な統合と長い開発サイクルが必要です。結果:複雑さ、サイロ化、断片化された UX。
- データ検証ソースの DIY 統合は、セットアップと保守が困難です。しかし、それがなければ、顧客は必要とされる世界規模および地域規模のカバレッジを得られなくなります。さらに、異なるソースからの結果が矛盾する場合は、その不一致を調整する必要があります。
AO 詐欺を防ぐための 5 つのベスト プラクティス
口座開設詐欺に直面した場合、顧客の身元を保護し、機密データを保護し、顧客の信頼を維持するために、強力でユーザーフレンドリーな防御を実装することが不可欠です。これを実現するには、次の 5 つのベスト プラクティスに従ってください。
- Leverage AI: In the battle against online fraud, AI’s ability to analyze vast amounts of data, detect subtle patterns and adapt to evolving tactics makes it an invaluable tool. Here are specific ways AI can be used to secure account opening:
- 行動分析: AI はアカウント開設時のユーザー行動を分析し、一般的なユーザー行動と比較します。不正なボットを示唆する可能性のある急速なデータ入力などの逸脱は、全体的なリスク スコアで評価される可能性があります。
- 生体認証: AI 駆動型の顔認識により、フィッシング耐性のある生体認証をサポートします。
- 生体認証マッチング: 本人確認写真と自撮り写真を比較して本人確認を行います。
- デバイスフィンガープリンティング: AI はユーザーのデバイスからのメタデータを分析して、疑わしい信号を検出できます。同じデバイスから異なる個人識別データを使用して新しいアカウントが開設されている場合、リスクとしてフラグが立てられます。
- 会話型 AI : 生成型 AI を使用すると、IT 管理者は顧客、顧客の活動、セキュリティ イベントなどに関する自然言語クエリを実行できます。自然言語処理は、悪質なボットに典型的なスクリプト化または自動テキスト入力などのテキスト異常にフラグを立てるためにも使用できます。
- データ検証: AI は、ID データ (住所、名前、社会保障番号など) を信頼できるデータベースと相互参照して、不一致をチェックできます。
- 継続的な学習: 新しいデータで AI をトレーニングすることで、新たな不正手法に適応し、詐欺師の一歩先を行くことができます。
- リアルタイム監視: AI は大規模なデータセットをリアルタイムで処理できるため、異常を即座に検出し、各口座開設の試行にリスクスコアを割り当て、必要に応じて軽減手順を開始できます。
- 行動分析: AI はアカウント開設時のユーザー行動を分析し、一般的なユーザー行動と比較します。不正なボットを示唆する可能性のある急速なデータ入力などの逸脱は、全体的なリスク スコアで評価される可能性があります。
- 階層化された ID 証明を実装する: 合成 ID や偽造 ID を検出するには、企業はID 検証とデータ検証を含む階層化されたアプローチが必要です。これらを組み合わせることで、オンボーディング プロセス中に ID を検証し、可能な限り最高のユーザー エクスペリエンス (UX) を確保できます。彼らがやっていることは次のとおりです:
- データ検証: 第一の防御線として、数十のソースを集約するデータ検証ソリューションがバックグラウンドで実行され、次の内容を即座に検証します。
- ユーザーが提供する個人データは正確かつ本物である
- データは主張されたアイデンティティと強く関連し、リンクされている
- ユーザーのデバイスと位置情報はIDに関連付けられている
- この人物は国際制裁監視リストに載っていない
- 本人確認: ユーザーの写真付き身分証明書と自撮り写真を分析して以下を確認します。
- 現実世界のアイデンティティが存在する
- 人物の自撮り写真は本物の生身の人間である
- ユーザーは認証されたIDに関連付けられた人物と同一人物である
- ユーザーの政府発行の身分証明書は本物かつ有効である
- IDは変更されておらず、日付はテンプレート、フォント、ホログラム、その他多数のセキュリティ機能と一致しています。
- 一緒に使うことでさらに良くなります: データ検証と ID 検証は、オーケストレーションとリアルタイムの不正防止とともに同じプラットフォーム内にネイティブに構築されている場合、互いに補完し合い、シームレスに連携します。
- 最強のセキュリティ:本人確認により、個人とそのIDが正当であるかどうかを最高レベルの信頼性で判断します。
- 最高のUX : データ検証はバックグラウンドで実行され、1秒未満で結果が返されるため、ユーザーエクスペリエンスにまったく負担がかかりません。
- データ検証: 第一の防御線として、数十のソースを集約するデータ検証ソリューションがバックグラウンドで実行され、次の内容を即座に検証します。
組織が KYC コンプライアンスに縛られていない限り、データ検証だけで、正当な顧客の大部分に対するリスク許容度を満たすことができます。データ検証で混合結果または否定的な結果が返された場合は、本人確認を呼び出して、ユーザーに本人確認の 2 度目の機会を与えることができます。
- リアルタイムの不正防止を活用する: エンドツーエンドの AO 不正防止はバックグラウンドで実行され、登録プロセス全体で発生するすべての事象を評価する必要があります。総合的な不正防止ソリューションには以下が含まれます。
- 複数の検出方法: 正確な検出を確実に行うには、1 つのソリューションで数百の信号を検査できる必要があります。広範な保護には、行動バイオメトリクス、デバイスフィンガープリンティング、ボット検出、アプリケーションとネットワークの評価、認証分析、トランザクション署名などが必要です。
- 継続的なリスク分析: ML と AI は、AO プロセス全体にわたって、すべてのアクティビティの完全なコンテキストをリアルタイムで評価できます。異常、たとえ微妙な逸脱であっても、全体的かつ文脈的な分析の一環として考慮する必要があります。
- 即時の脅威対応: 継続的に更新および調整される ML と AI を使用して、新しいゼロデイ攻撃パターンを積極的に検出します。
- 複数の検出方法: 正確な検出を確実に行うには、1 つのソリューションで数百の信号を検査できる必要があります。広範な保護には、行動バイオメトリクス、デバイスフィンガープリンティング、ボット検出、アプリケーションとネットワークの評価、認証分析、トランザクション署名などが必要です。
- オーケストレーションによる統合: オーケストレーションによりすべての機能が統合され、AO 詐欺に対する保護が統合され、シームレスな登録フローが作成され、次の機能が提供されます。
- 正確なリスク スコア: オーケストレーション エンジンは、AO 機能、アプリ、チャネル全体のデータを集約して相関させ、すべてのリスク シグナルの完全なコンテキストを評価し、疑わしいアクティビティを正確に特定します。
- 自動意思決定: 異常が検出された場合は、即座に対応し、 AO ジャーニーをリアルタイムで適応させる必要があります。リスク スコアが高い場合、ユーザーを拒否したり、MFA や ID 検証などでユーザーに異議を申し立てたりすることができます。
- コード不要のジャーニー ビルダー: ドラッグ アンド ドロップ ツールにより、安全でユーザー フレンドリな AO ジャーニーを柔軟に作成し、制御できるため、ID 検証、データ検証、MFA などが必要なタイミングを簡単に定義できます。
- 正確なリスク スコア: オーケストレーション エンジンは、AO 機能、アプリ、チャネル全体のデータを集約して相関させ、すべてのリスク シグナルの完全なコンテキストを評価し、疑わしいアクティビティを正確に特定します。
- スムーズで簡単な登録を実現: 魅力的でシームレスな UX は、AO 完了率の向上に不可欠です。特に、本人確認では、ステップごとのプロセスを最適化するシンプルなグラフィックイラストが役立ちます。フォームの自動入力とフィッシング耐性認証も必ず実装してください。これらおよびその他の低摩擦ツールは、データ検証やリアルタイムの不正防止などの受動的なセキュリティ層を強化し、顧客の立証負担を最小限に抑えます。
Transmit Securityでの口座開設
Transmit Security は、口座開設に関するあらゆる課題を解決し、5 つのベスト プラクティスすべてを単一の統合 AO プラットフォームで提供します。世界で最も複雑なインフラストラクチャを持つ企業向けに作られた当社のソリューションは、UX と IT のシンプルさと検出精度を提供し、AO 詐欺を阻止し、コンプライアンスを確保し、登録率を最適化します。
上記のベストプラクティスに加えて、当社のエンドツーエンドのアカウント開設ソリューションは、認証方法の完全なセットを提供し、パスキー、パスワードレス MFA、SMS OTP、電子メールマジックリンク、ソーシャルログイン、パスワードを使用してユーザーを登録するオプションを提供します。
当社のオールインワン ソリューションは、 IT の複雑さとコストを最小限に抑えながら、シームレスな UX と調整された不正行為防御を保証します。集中 ID 管理と統合ユーザー ストアにより、アカウント開設プロセス全体にわたって可視性と制御が最適化されます。ChatGPT に非常によく似た会話分析も統合されているため、質問して不正検出データ、エンドユーザー、セキュリティ体制に関する洞察を即座に得ることができます。
Transmit Security を使用すると、口座開設のすべての手順を簡素化し、安全に行うことができます。当社の完全な AO プラットフォームを調べるか、ミーティングをリクエストして、最も困難な ID および詐欺の課題の解決をお手伝いします。
Transmit Security は、完全なユースケースにすぐに対応できるように設計された、ネイティブ機能のフルセットを備えた統合 AO プラットフォームを提供する唯一のベンダーです。